آموزش سیستم کامل حفاظت از داده A-Z در 16 مرحله (GDPR، CIPM)

سرفصل ها و درس ها

پیش نمایش Preview

• پیش نمایش Preview

برای رفتن آماده شو Get ready to go

• 5 دلیل برای مراقبت از سیستم حفاظت از داده های خود 5 reasons to take care of your data protection system

• انگیزه 1: مسئولیت Motivator 1: liability

• انگیزه 2: شهرت Motivator 2: reputation

• انگیزه 3: اثربخشی زمان Motivator 3: time-effectiveness

• انگیزه 4: مقرون به صرفه بودن Motivator 4: cost-effectiveness

• انگیزه 5: احترام به موضوع داده ها Motivator 5: respect for data subjects

• پشتیبانی مدیریت و ذینفعان Support from management & stakeholders

• 10 تفاوت بین یک شرکت بی توجه به حریم خصوصی و اهداف شما 10 differences between a privacy-careless firm and your goals

• تفاوت 1: اهداف پردازش داده ها Difference 1: purposes for data processing

• تفاوت 2: دامنه داده های شخصی پردازش شده Difference 2: scope of personal data processed

• تفاوت 3: تأیید و به روز رسانی Difference 3: verification and updating

• تفاوت 4: حفظ Difference 4: retention

• تفاوت 5: احتمال نقض امنیت Difference 5: likelihood of a security breach

• تفاوت 6: شدت تخلف Difference 6: severity of violation

• تفاوت 7: حقوق موضوع داده ها Difference 7: data subject rights

• تفاوت 8: انطباق رسمی Difference 8: formal compliance

• تفاوت 9: شفافیت Difference 9: transparency

• تفاوت 10: شواهد Difference 10: evidence

• سازمانی که به آن خدمت خواهید کرد The organization you will service

• معنی بافت سازمان Meaning of organization’s context

• کجا جواب ها را یادداشت کنیم؟ Where to write down the answers?

• شرح مختصری از فعالیت سازمان Brief description of organization’s activity

• قوانین و استانداردهای قابل اجرا Applicable laws & standards

• چگونه قوانین محلی و تفصیلی را در نظر بگیریم؟ How to consider local and detailed laws?

• تعداد کل تخمینی افراد داده Estimated total number of data subjects

• مکان هایی که داده ها در آن پردازش می شوند Locations where data are processed

• پروژه شما چگونه خواهد بود؟ What your project will look like?

• مراحل Steps

• فاز 1: شناسایی Phase 1: identify

• مرحله 2: ارزیابی Phase 2: assess

• فاز 3: پیاده سازی Phase 3: implement

• فاز 4: درخواست Phase 4: apply

• شروع کن بازیگری! Start acting!

• تیم حریم خصوصی The privacy team

• مدل حکمرانی Governance model

• چگونه پروژه را آماده کنیم؟ How to prepare the project?

• جلسه آغازین Kick-off meeting

• بعد از شروع جلسه After the kick-off meeting

• برای ارسال به طرفین (فرایندها) To send to interlocutors (processes)

• برای ارسال به طرفین (دارایی) To send to interlocutors (assets)

• ارسال به طرفین (تعهدات عمومی) To send to interlocutors (general obligations)

مرحله 1: شناسایی اهداف پردازش داده ها Step 1: Identify data processing purposes

• حالت کار Mode of operation

• فرآیندها و پردازش Processes and processing

• فرآیندهای معمولی (کنترل کننده) Typical processes (controller)

• فرآیندهای معمولی (پردازنده) Typical processes (processor)

• اهداف در مقابل فرآیندها Purposes v. processes

• اهداف کیست؟ Whose the purposes are?

• از کدام پرسشنامه استفاده کنیم؟ Which questionnaires to use?

• فعالیت های پردازشی (پرسشنامه کنترل کننده) Processing activities (controller’s questionnaire)

• کنترلرهای مشترک (پرسشنامه کنترل کننده) Joint controllers (controller’s questionnaire)

• اهداف پردازش (پرسشنامه کنترل کننده) Processing purposes (controller’s questionnaire)

• اهداف معمولی (در صورت امکان جزئیات بیشتری اضافه کنید) Typical purposes (add more details if possible)

• کنترل کننده (ها) (پرسشنامه پردازشگر) Controller(s) (processor’s questionnaire)

• فعالیت ها و اهداف پردازش (پرسشنامه پردازشگر) Processing activities & purposes (processor’s questionnaire)

مرحله 2: جزئیات پردازش داده را شناسایی کنید Step 2: Identify data processing details

• دسته بندی موضوعات داده ها (پرسشنامه کنترل کننده) Categories of data subjects (controller’s questionnaire)

• دسته بندی های معمولی از موضوعات داده Typical categories of data subjects

• دسته بندی داده های شخصی (پرسشنامه کنترل کننده) Categories of personal data (controller’s questionnaire)

• دسته‌بندی‌های معمولی داده‌های شخصی «معمولی». Typical categories of ‘ordinary’ personal data

• دسته های ویژه داده های شخصی Special categories of personal data

• دسته بندی گیرندگان (پرسشنامه کنترل کننده) Categories of recipients (controller’s questionnaire)

• دسته بندی های معمولی گیرندگان Typical categories of recipients

• نقل و انتقالات خارج از منطقه اقتصادی اروپا Transfers outside the European Economic Area

• موارد معمول انتقال به خارج از EEA Typical cases of transfer outside the EEA

• محدودیت های زمانی پیش بینی شده برای پاک کردن داده ها (پرسشنامه کنترل کننده) Envisaged time limits for data erasure (controller’s questionnaire)

• محدودیت های زمانی معمول برای پاک کردن داده ها Typical time limits for data erasure

• شرح کلی اقدامات امنیتی General description of security measures

• نقل و انتقالات خارج از EEA (پرسشنامه پردازشگر) Transfers outside the EEA (processor’s questionnaire)

• ارائه ضمانت برای کنترلر(ها) Providing guarantees for controller(s)

مرحله 3: شناسایی دارایی ها Step 3: Identify assets

• حالت کار Mode of operation

• چگونه دارایی های شناسایی شده را گروه بندی کنیم؟ How to group identified assets?

• مکان ها و مناطق Locations & areas

• دارایی‌های معمولی (مکان‌ها و مناطق) Typical assets (locations & areas)

• حفاظت های معمولی (موقعیت ها و مناطق) Typical safeguards (locations & areas)

• تجهیزات Equipment

• دارایی های معمولی (تجهیزات) Typical assets (equipment)

• حفاظت های معمولی (تجهیزات) Typical safeguards (equipment)

• شبکه ها و سرورها Networks & servers

• دارایی های معمولی (شبکه ها و سرورها) Typical assets (networks & servers)

• حفاظت های معمولی (شبکه ها و سرورها) Typical safeguards (networks & servers)

• وب سایت ها Websites

• دارایی های معمولی (وب سایت ها) Typical assets (websites)

• حفاظت های معمولی (وب سایت ها) Typical safeguards (websites)

• نرم افزار Software

• دارایی های معمولی (نرم افزار) Typical assets (software)

• پادمان های معمولی (نرم افزار) Typical safeguards (software)

• فایل های دیجیتال (بدون ساختار) Digital files (unstructured)

• دارایی های معمولی (فایل های دیجیتال) Typical assets (digital files)

• حفاظت های معمولی (فایل های دیجیتال) Typical safeguards (digital files)

• اسناد چاپ شده Printed documents

• دارایی های معمولی (اسناد چاپی) Typical assets (printed documents)

• حفاظت های معمولی (اسناد چاپی) Typical safeguards (printed documents)

• کارکنان Staff

• دارایی های معمولی (کارکنان) Typical assets (staff)

• پادمان های معمولی (کارکنان) Typical safeguards (staff)

• دیگر Other

مرحله 4: صاحبان فرآیند و دارایی را شناسایی کنید Step 4: Identify process & asset owners

• صاحبان فرآیند و دارایی Process and asset owners

• صاحب فرآیند - مسئولیت های معمولی Process owner - typical responsibilities

• صاحب دارایی - مسئولیت های معمولی Asset owner - typical responsibilities

مقدمه: مرحله ارزیابی Intro: assessment phase

• حالت کار Mode of operation

• ثبت فعالیت های پردازشی (پرسشنامه های کنترل کننده) Record of processing activities (controller’s questionnaires)

• ثبت کلیه دسته های فعالیت های پردازشی (پرسشنامه های پردازشگر) Record of all categories of processing activities (processor’s questionnaires)

مرحله 5: فرآیندهای کنترل کننده را ارزیابی کنید Step 5: Assess controller’s processes

• هدف 1، اصل محدودیت هدف (پرسشنامه کنترل کننده) Goal 1, Purpose limitation principle (controller’s questionnaire)

• هدف 1، اصل قانونمندی (پرسشنامه کنترل کننده) Goal 1, Lawfulness principle (controller’s questionnaire)

• هدف 1، مبنای قانونی برای به اشتراک گذاری داده ها (پرسشنامه کنترل کننده) Goal 1, Legal basis for data sharing (controller’s questionnaire)

• هدف 2، اصل کمینه سازی داده ها (پرسشنامه کنترل کننده) Goal 2, Data minimization principle (controller’s questionnaire)

• هدف 3، اصل دقت (پرسشنامه کنترل کننده) Goal 3, Accuracy principle (controller’s questionnaire)

• هدف 4، محدودیت ذخیره سازی (پرسشنامه کنترل کننده) Goal 4, Storage limitation (controller’s questionnaire)

• هدف 5: محافظت از داده های شخصی در برابر نقض امنیت Goal 5: protect personal data against security breach

• هدف 6، الزام به انجام DPIA (پرسشنامه کنترل کننده) Goal 6, Obligation to carry out DPIA (controller’s questionnaire)

• هدف 6، تهدیدات برای افراد داده (پرسشنامه کنترل کننده) Goal 6, Threats to data subjects (controller’s questionnaire)

• هدف 7: آماده شدن برای رسیدگی به درخواست های موضوع داده Goal 7: prepare to handle data subject requests

• هدف 8، کنترل کننده های مشترک (پرسشنامه کنترل کننده) Goal 8, Joint controllers (controller’s questionnaire)

• هدف 8، آسیب‌پذیری‌های معمولی (پردازنده‌ها) Goal 8, Typical vulnerabilities (processors)

• هدف 8، پردازنده ها ضمانت های انطباق را ارائه می دهند (پرسشنامه کنترل کننده) Goal 8, Processors provide compliance guarantees (controller’s questionnaire)

• هدف 8، پردازشگرها به تمام تعهدات GDPR متعهد می شوند (پرسشنامه کنترل کننده) Goal 8, Processors commit to all GDPR obligations (controller’s questionnaire)

• هدف 8، قانونی بودن نقل و انتقالات خارج از منطقه اقتصادی اروپا (پرسشنامه کنترل کننده) Goal 8, Lawfulness of transfers outside the EEA (controller’s questionnaire)

• هدف 9، اصل شفافیت (پرسشنامه کنترل کننده) Goal 9, Transparency principle (controller’s questionnaire)

• هدف 9، ارائه کلیه اطلاعات مورد نیاز (پرسشنامه کنترل کننده) Goal 9, Providing all the required information (controller’s questionnaire)

• هدف 9، ارائه به موقع اطلاعات (پرسشنامه کنترل کننده) Goal 9, Providing information timely (controller’s questionnaire)

• هدف 10: دستیابی به مسئولیت پذیری - توانایی نشان دادن انطباق Goal 10: achieve accountability - ability to demonstrate compliance

مرحله 6: فرآیندهای پردازنده را ارزیابی کنید Step 6: Assess processor’s processes

• هدف 1: فقط داده های شخصی را تحت قرارداد با کنترل کننده پردازش کنید Goal 1: only process personal data under a contract with the controller

• هدف 2، ارائه تضمین برای کنترلر(ها) (پرسشنامه پردازشگر) Goal 2, Providing guarantees for controller(s) (processor’s questionnaire)

• هدف 3: پردازشگر دیگری را بدون رضایت کنترلر و به همین منظور درگیر نکنید Goal 3: do not engage another processor without controller’s consent & same obli

• هدف 4: اطمینان از محرمانه بودن از سوی تمام افرادی که مجاز به پردازش شخصی هستند Goal 4: ensure confidentiality from all persons authorized to process personal d

• هدف 5: محافظت از داده های شخصی در برابر نقض امنیت Goal 5: protect personal data against security breach

• هدف 6: کمک به کنترل کننده با درخواست های موضوع داده Goal 6: assist the controller with data subject requests

• هدف 7: کمک به کنترل کننده در انجام سایر تعهدات Goal 7: assist the controller with fulfilling other obligations

• هدف 8: نشان دادن انجام تعهدات پردازنده به کنترل کننده Goal 8: demonstrate fulfillment of processor’s obligations to the controller

مرحله 7: ارزیابی امنیت اطلاعات Step 7: Assess information security

• معیارهای ارزیابی امنیت اطلاعات Criteria for info security assessment

• نحوه عملکرد (ارزیابی امنیت اطلاعات) Mode of operation (info security assessment)

• موارد با احتمال بالا و ارزیابی صداقت و محرمانه High likelihood cases and integrity & confidentiality assessment

• مکان ها و مناطق - نقض های امنیتی معمولی Locations and areas - Typical security breaches

• مکان ها و مناطق - آسیب پذیری های معمولی Locations and areas - Typical vulnerabilities

• تجهیزات - نقض امنیتی معمولی Equipment - Typical security breaches

• تجهیزات - آسیب پذیری های معمولی Equipment - Typical vulnerabilities

• شبکه‌ها و سرورها - نقض‌های امنیتی معمولی Networks & servers - Typical security breaches

• شبکه‌ها و سرورها - آسیب‌پذیری‌های معمولی Networks & servers - Typical vulnerabilities

• وب سایت ها - نقض های امنیتی معمولی Websites - Typical security breaches

• وب سایت ها - آسیب پذیری های معمولی Websites - Typical vulnerabilities

• نرم افزار - نقض امنیتی معمولی Software - Typical security breaches

• نرم افزار - آسیب پذیری های معمولی Software - Typical vulnerabilities

• فایل‌های دیجیتال - نقض‌های امنیتی معمولی Digital files - Typical security breaches

• فایل های دیجیتال - آسیب پذیری های معمولی Digital files - Typical vulnerabilities

• اسناد چاپی - نقض امنیتی معمولی Printed documents - Typical security breaches

• اسناد چاپی - آسیب پذیری های معمولی Printed documents - Typical vulnerabilities

• کارکنان - نقض امنیتی معمولی Staff - Typical security breaches

• کارکنان - آسیب پذیری های معمولی Staff - Typical vulnerabilities

• دارایی های دیگر Other assets

مرحله 8: تعهدات کلی را ارزیابی کنید Step 8: Assess general obligations

• افسر حفاظت از داده ها - تعیین (پرسشنامه تعهدات عمومی) Data protection officer - designation (general obligations questionnaire)

• افسر حفاظت از داده ها - سمت (پرسشنامه تعهدات عمومی) Data protection officer - position (general obligations questionnaire)

• افسر حفاظت از داده ها - وظایف (پرسشنامه تعهدات عمومی) Data protection officer - tasks (general obligations questionnaire)

• مدیریت حوادث و گزارش دهی Incident management & reporting

• حریم خصوصی با طراحی و به طور پیش فرض Privacy by design and by default

• حق دسترسی Right to access

• حق اصلاح Right to rectification

• حق پاک کردن (فراموش شدن) Right to erasure (to be forgotten)

• حق محدودیت پردازش Right to restriction of processing

• در صورت تصحیح، پاک کردن یا محدود شدن پردازش داده ها، الزام به اطلاع رسانی Notification obligation if data rectified, erased or processing restricted

• حق انتقال داده ها Right to data portability

• حق اعتراض Right to object

• تصمیم گیری و پروفایل خودکار Automated decisions & profiling

• سیاست ها و رویه ها Policies & procedures

• تعهدات و آگاهی کارکنان Employee obligations & awareness

• خلاصه اجرایی و ارزیابی ریسک Executive summary & risk assessment

مرحله 9: فرآیندهای کنترل کننده مدل Step 9: Model controller’s processes

• مقدمه: مرحله اجرا Intro: implementation phase

• جمع آوری داده ها را تنظیم کنید Adjust data collecting

• دامنه پردازش داده ها را تنظیم کنید Adjust the scope of data processing

• بندهای اطلاعاتی را آماده کنید Prepare informational clauses

• قراردادها را به روز کنید Update contracts

مرحله 10: فرآیندهای پردازنده را مدل کنید Step 10: Model processor’s processes

• محدوده پردازش را تنظیم کنید Adjust the scope of processing

• ارتباط با کنترل کننده و افراد داده را تنظیم کنید Adjust communication with controller & data subjects

• قراردادها را تنظیم کنید Adjust the contracts

مرحله 11: ریسک های امنیتی را مدیریت کنید Step 11: Manage security risks

• مقدمه: مدیریت ریسک های امنیتی Intro: managing security risks

• اهداف امنیتی عمومی، استانداردها و زمینه General security objectives, standards & context

• رهبری، نقش ها و مسئولیت ها Leadership, roles & responsibilities

• ثبت دارایی، تجزیه و تحلیل ریسک و درمان Asset register, risk analysis & treatment

• مدیریت دارایی، مدیریت رسانه، طبقه بندی اطلاعات Asset management, media handling, information classification

• کار سیار، دفتر خانگی، دستگاه های خصوصی و استفاده خصوصی Mobile work, home office, private devices & private use

• مدیریت مجوز و کنترل دسترسی Authorization management & access control

• امنیت فیزیکی و محیطی Physical & environmental security

• ثبت رویداد، آسیب‌پذیری و نظارت بر استفاده Event logging, vulnerability & usage monitoring

• رمزنگاری Cryptography

• روابط تامین کننده Supplier relationships

• امنیت شبکه و انتقال اطلاعات Network security & information transfer

• نرم افزار - حفاظت و مدیریت آسیب پذیری Software - safeguards & vulnerability management

• استخدام، استخدام، پایان کار و مسئولیت های کاربر نهایی Recruitment, employment, termination & end-user responsibilities

• مدیریت پروژه، استثنائات و دارایی های غیر معمول Project management, exceptions & non-typical assets

• مدیریت حوادث Incident management

• تداوم کسب و کار و بازیابی فاجعه Business continuity and disaster recovery

• بررسی و ارزیابی عملکرد Reviews and performance evaluation

مرحله 12: وظایف عمومی را رعایت کنید Step 12: Comply with general duties

• افسر حفاظت از داده ها یا معادل آن Data protection officer or equivalent

• مدیریت حوادث و گزارش Incident management & reporting

• حریم خصوصی با طراحی Privacy by design

• حقوق موضوع داده ها Data subject rights

• الزام به مشورت با مقام ناظر Obligation to consult the supervisory authority

مرحله 13: سیاست های کلی را تهیه کنید Step 13: Prepare general policies

• مقدمه: مرحله درخواست Intro: application phase

• چرا سیاست های کلی مفید خواهد بود؟ Why general policies would be useful?

• سیاست ها باید چه جنبه هایی را پوشش دهد؟ What aspects should the policies cover?

• چگونه سیاست های کلی را تهیه کنیم؟ How to prepare general policies?

• ارتباط با رویه های عملیاتی استاندارد (SOP) Relation with standard operating procedures (SOPs)

مرحله 14: SOP ها را آماده کنید Step 14: Prepare SOPs

• SOP عمومی General SOP

• SOPها برای فرآیندهای کنترل کننده SOPs for controller’s processes

• SOP برای فرآیندهای پردازنده SOPs for processor’s processes

• SOP برای دارایی ها SOPs for assets

مرحله 15: پذیرش، انتشار و آموزش Step 15: Adopt, publish & train

• اسناد حفاظت از داده ها را بپذیرید Adopt data protection documentation

• انتشار اسناد حفاظت از داده ها Publish data protection documentation

• کارمندان و همکاران را آموزش دهید Train employees & associates

مرحله 16: اجرا، نگهداری و بازبینی Step 16: Execute, maintain & review

• اجرای تعهدات داخلی Execute internal obligations

• انطباق را حفظ کنید و سیستم خود را به روز نگه دارید Maintain compliance and keep your system up to date

• سیستم حفاظت از داده های خود را به طور منظم بررسی و بهبود بخشید Review and improve your data protection system regularly

بسته شدن Wrap-up

• بسته شدن Wrap-up